Chiến dịch tấn công mạng VPNFilter vào thiết bị định tuyến mạng

[nktung]

Giới thiệu​

VPNFilter là một chiến dịch tấn công mạng bằng mã độc nhắm vào các thiết bị định tuyến và lưu trữ mạng, được Cisco Talos phát hiện vào tháng 5/2018. Chiến dịch này có quy mô rất lớn, với ước tính ít nhất 500.000 thiết bị tại 54 quốc gia đã bị lây nhiễm. Các thiết bị bị ảnh hưởng bao gồm chủ yếu router dành cho văn phòng nhỏ/gia đình (SOHO) của nhiều hãng phổ biến (như Linksys, MikroTik, NETGEAR, TP-Link, D-Link, Asus, Huawei, Ubiquiti, Upvel, ZTE, v.v.) cũng như một số thiết bị lưu trữ mạng NAS của QNAP. Điểm đáng lo ngại là mã độc VPNFilter có khả năng tồn tại dai dẳng trên thiết bị (không bị xoá khi khởi động lại), đồng thời có nhiều chức năng nguy hiểm như đánh cắp thông tin đăng nhập web và theo dõi lưu lượng SCADA (giao thức Modbus), và thậm chí có thể phá hủy thiết bị trên diện rộng khi được kích hoạt.

Các nhà nghiên cứu nhận định VPNFilter là một malware phức tạp được phát triển bởi một tác nhân có năng lực cao, có thể là nhóm APT được nhà nước bảo trợ. Thực tế, mã của VPNFilter có những đoạn trùng lặp với malware BlackEnergy – từng được sử dụng trong các cuộc tấn công lớn vào hệ thống điện lưới Ukraina. Điều này (dù chưa kết luận chắc chắn) gợi ý rằng chiến dịch VPNFilter nhiều khả năng liên quan đến một nhóm tin tặc có mục tiêu OT/ICS, và mục tiêu ban đầu được ghi nhận cũng tập trung mạnh vào các nạn nhân tại Ukraina. Với tính chất phức tạp và khả năng phá hoại diện rộng, VPNFilter đã trở thành mối đe dọa nghiêm trọng đối với an ninh của hạ tầng mạng và hệ thống công nghiệp trên toàn cầu.​

Cách thức hoạt động và điều khiển của VPNFilter​

Mã độc VPNFilter có kiến trúc đa tầng rất linh hoạt. Thay vì chỉ là một chương trình đơn lẻ, nó gồm nhiều pha nối tiếp nhau, cho phép duy trì sự hiện diện lâu dài và thực thi các chức năng phức tạp theo yêu cầu kẻ tấn công. Cách thức hoạt động tổng quan như sau:​

• Pha 1: Mã độc ban đầu xâm nhập vào thiết bị (thường thông qua khai thác lỗ hổng hoặc đăng nhập bằng thông tin mặc định) và cài cắm một đoạn loader thường trú trên thiết bị. Phần này có dung lượng nhỏ, mục tiêu chính là giành quyền tồn tại lâu dài trên router ngay cả sau khi thiết bị bị khởi động lại. Pha 1 đạt được điều đó bằng cách sửa đổi vùng nhớ cấu hình (NVRAM) và thêm chính nó vào crontab (bộ lập lịch chạy tiến trình của Linux) để tự động chạy lại mỗi khi thiết bị khởi động. Nhờ vậy, VPNFilter khác biệt so với đa số malware IoT trước đó (vốn thường mất tác dụng sau reboot).​
• Pha 2: Sau khi đã nằm vùng, loader liên lạc ra bên ngoài để tải mô-đun ở pha 2 – là mô-đun chính của malware. Điểm đặc biệt là pha 1 sử dụng nhiều cơ chế để kết nối tới máy chủ C2 (Command & Control) rất sáng tạo để tìm đến máy chủ chứa modun chính. Đầu tiên, nó cố gắng truy cập một bộ sưu tập hình ảnh trên Photobucket, tải về tấm hình đầu tiên rồi giải mã thông tin toạ độ GPS trong metadata EXIF của ảnh để lấy địa chỉ IP của máy chủ C2. Nếu bước này thất bại (thư viện ảnh đã bị gỡ bỏ), malware chuyển sang phương án hai: kết nối tới một tên miền cố định và tải một ảnh chứa thông tin IP tương tự. (Lưu ý: Vào cuối tháng 5/2018, FBI đã thu giữ tên miền này, khiến cơ chế C2 này của VPNFilter bị vô hiệu hóa một phần). Cuối cùng, nếu cả hai phương thức trên đều không thành công, loader sẽ mở một cổng “nghe lệnh” thụ động trên thiết bị – nó lặng lẽ chờ trên mạng và giám sát mọi gói tin đến; khi nhận được một gói đặc biệt có chứa “mật khẩu” kích hoạt, loader sẽ trích xuất IP từ gói đó và dùng để tải mô-đun chính. Chính nhờ đa dạng kênh liên lạc C2 như vậy, VPNFilter rất bền bỉ trước nỗ lực ngắt kết nối của người phòng thủ (nếu một kênh bị chặn, nó sẽ chuyển sang kênh khác).​
• Pha 3: Sau khi mô-đun chính được cài và chạy, thiết bị sẽ nằm dưới sự kiểm soát của kẻ tấn công. Mô-đun này sẽ kết nối về hạ tầng điều khiển C2 của hacker để nhận lệnh, thường qua kết nối mã hóa SSL và thậm chí có thể thông qua mạng ẩn danh Tor (nhờ một mô-đun ở pha 3 hỗ trợ). Toàn bộ giao tiếp điều khiển giữa malware và máy chủ đều được mã hóa và chứng thực (ví dụ sử dụng SSL với certificate phía client, hoặc dùng kênh Tor), do đó rất khó phát hiện bằng các giải pháp giám sát mạng thông thường. Thông qua kênh C2 này, kẻ tấn công có thể gửi các lệnh từ xa để malware thực hiện trên thiết bị nạn nhân (như tải thêm mô-đun, thu thập dữ liệu, thực thi lệnh hệ thống, v.v.), cũng như nhận về các thông tin đánh cắp. Cơ chế đa tầng của VPNFilter cho phép kẻ tấn công linh hoạt “cấy” những năng lực cần thiết vào thiết bị tùy theo mục tiêu cụ thể, đồng thời duy trì quyền kiểm soát bền vững ngay cả khi thiết bị bị khởi động lại.​

VPNFilter hoạt động như một mã độc gồm nhiều pha: Pha đầu để bám trụ và “gọi” về máy chủ, pha thứ hai để thực thi các chức năng chính và nhận lệnh, pha ba để mở rộng tính năng khi cần. Phần dưới đây sẽ trình bày chi tiết từng pha của VPNFilter.​

Chi tiết Các pha tấn công của VPNFilter​

Pha 1: Trình tải thường trú (Persistent Loader)​

Mã độc được cài vào thiết bị khi bị tấn công. Theo phân tích, VPNFilter đã lây nhiễm thành công các thiết bị bằng cách tận dụng các lỗ hổng đã biết hoặc tài khoản mặc định trên router/NAS, tuy rằng chưa xác định chính xác vector khai thác ban đầu cho từng trường hợp. Khi xâm nhập, mã độc sẽ cài một thành phần nhỏ lên thiết bị, có nhiệm vụ chạy ngay khi thiết bị khởi động và tải các phần khác của malware về.

Để đạt được tính thường trú, VPNFilter sửa đổi một số thiết lập hệ thống: nó có thể ghi vào vùng nhớ NVRAM và thêm tiến trình của mình vào crontab của hệ điều hành nhúng trên router. Nhờ đó, dù router có bị reboot, mã độc vẫn tự động khởi chạy lại – đây là điểm khác biệt rất lớn so với các mã độc IoT thông thường vốn chỉ tồn tại trong RAM và biến mất sau khi khởi động thiết bị.

Chức năng chính trong pha này là liên lạc ra ngoài để tải mã độc cho pha 2. Như đã mô tả ở phần trên, pha 1 có tích hợp nhiều cơ chế tìm kiếm máy chủ C2: từ việc truy vấn một ảnh trên Photobucket, truy cập tên miền cố định, cho đến việc mở cổng backdoor thụ động chờ lệnh đặc biệt. Cách thiết kế nhiều lớp này giúp VPNFilter linh hoạt đối phó với việc hạ tầng C2 bị thay đổi hoặc bị đánh sập (ví dụ: Photobucket đã xóa album mà malware dùng, FBI thu giữ domain mã độc sử dụng, nhưng malware vẫn có thể chờ lệnh qua mạng).

Do trong pha 1 đã cài sâu vào hệ thống và lưu trên bộ nhớ flash của thiết bị, nên việc gỡ bỏ nó không đơn giản. Các chuyên gia Symantec cho biết cách duy nhất để xóa là thực hiện khôi phục cài đặt gốc thiết bị về trạng thái ban đầu. Việc khởi động lại bình thường chỉ dừng tạm thời, nhưng mã độc sẽ lại được kích hoạt và tiếp tục quá trình lây nhiễm sau đó.​

Pha 2: Mã độc chính​

Pha 2 sử dụng thành phần mã độc chính được pha 1 tải về và thực thi trên thiết bị. Không giống mã độc ở pha 1, mã độc chính không thể lưu lại sau reboot – tức là nếu thiết bị khởi động lại mà mã độc ở Pha 1 không khởi động lại nó, thì mã độc chính sẽ mất hiệu lực. Tuy nhiên, trong suốt thời gian hoạt động, nó chính là “bộ não” thực hiện các chỉ thị từ kẻ tấn công và tương tác trực tiếp với hệ thống của nạn nhân.

Mã độc chính được thiết kế như một “bộ thu thập thông tin và điều khiển” đa năng. Nó có đầy đủ năng lực mà ta thường thấy ở một malware gián điệp: thu thập tệp tin và dữ liệu, thực thi lệnh tùy ý, lọc và gửi dữ liệu ra ngoài, và kiểm soát cấu hình thiết bị (tương tự như quản trị viên). Kẻ điều khiển có thể ra lệnh cho mã độc chính thực hiện gần như mọi thao tác mà thiết bị cho phép, ví dụ: đọc nội dung các file nhạy cảm, chạy các lệnh shell, thay đổi cài đặt mạng, v.v. Bên cạnh đó, mã độc chính còn có khả năng phá hoại thiết bị khi nhận lệnh đặc biệt. Một số biến thể Mã độc chính tích hợp sẵn lệnh “kill” – khi thi hành, nó sẽ ghi đè một phần firmware của router bằng byte rác (ví dụ ghi đè 5000 byte đầu của bộ nhớ flash) rồi khởi động lại thiết bị, khiến thiết bị không thể khởi động được nữa (bị “brick”). Thao tác phá hủy này về cơ bản làm router thành vô dụng và nạn nhân rất khó phục hồi nếu không có kỹ năng và công cụ chuyên dụng. Nguy hiểm hơn, ngay cả khi biến thể mã độc chính cụ thể chưa có sẵn lệnh “kill”, kẻ tấn công vẫn có thể tận dụng chức năng thực thi lệnh để gửi các lệnh Linux tương tự nhằm xóa firmware – do họ tỏ ra am hiểu sâu về hệ thống thiết bị mục tiêu. Các nhà nghiên cứu đánh giá kẻ tấn công có đủ khả năng để ra lệnh tự hủy hầu hết các thiết bị mà chúng kiểm soát, biến VPNFilter thành một công cụ phá hoại hàng loạt nếu cần.

Trong quá trình hoạt động, mã độc chính thiết lập cơ chế liên lạc thường trú với máy chủ điều khiển. Ban đầu (nếu chưa có module Tor), mã độc chính sử dụng các địa chỉ IP C2 được cấu hình sẵn hoặc qua các proxy SOCKS5 để kết nối ra ngoài bằng kênh mã hóa SSL. Các thông tin trao đổi (chẳng hạn URL cấu hình, cổng proxy, khoảng thời gian chờ…) đều được Mã độc chính lưu và có thể thay đổi theo lệnh seturl, proxy, port, delay từ máy chủ. Khi module Tor (Pha 3) được cài, mã độc chính sẽ chuyển sang gửi dữ liệu qua mạng Tor (đến các dịch vụ .onion) thông qua proxy cục bộ mà module này cung cấp, giúp ẩn hoàn toàn nguồn gốc của lưu lượng về kẻ tấn công.

Mã độc chính liên tục nghe lệnh từ máy chủ và có một tập lệnh phong phú. Theo phân tích mã, mã độc chính (biến thể x86) hỗ trợ nhiều lệnh điều khiển như:​

• kill – phá hủy thiết bị như đã mô tả (ghi đè firmware và reboot).​
• exec – thực thi một lệnh hệ thống tùy ý hoặc chạy một plugin (Pha 3) nào đó.​
• download – tải một tệp tin từ URL chỉ định về thiết bị (có thể để cài thêm malware hoặc cấu hình mới).​
• reboot – khởi động lại thiết bị (có điều kiện, thường để ẩn dấu vết sau khi xóa log).​
• Ngoài ra còn các lệnh như “tor” (bật/tắt chế độ dùng Tor), “copy” (copy file từ thiết bị về máy chủ), “seturl/port” (đổi địa chỉ máy C2 và cổng), “delay” (đặt thời gian chờ giữa các lần liên lạc), v.v..​

Trên một số kiến trúc (như MIPS), mã độc chính có thể có thêm hoặc khác biệt nhỏ (ví dụ lệnh "stop" để dừng malware, lệnh “relay” thay cho “delay” do lỗi chính tả). Nhìn chung, mã độc chính đóng vai trò như một “trung tâm điều hành”: nó duy trì kết nối với kẻ tấn công, thực thi mọi yêu cầu và quản lý các mô-đun mở rộng (Pha 3) được tải xuống.​

Pha 3: Các mô-đun phụ trợ​

Pha 3 của VPNFilter bao gồm các mô-đun phụ trợ được thiết kế dưới dạng plugin có thể được mã độc chính tải về và kích hoạt khi cần. Mỗi mô-đun cung cấp một chức năng chuyên biệt, mở rộng khả năng của malware tùy theo mục tiêu tấn công. Tại thời điểm công bố ban đầu, các nhà nghiên cứu đã xác định hai mô-đun chính gồm:​

• Mô-đun bắt gói: cho phép chặn và phân tích toàn bộ lưu lượng mạng đi qua thiết bị nhiễm. Nhờ đó kẻ tấn công có thể đánh cắp các thông tin nhạy cảm như thông tin đăng nhập website (tên người dùng, mật khẩu) khi người dùng truy cập qua router bị nhiễm. Đặc biệt, mô-đun này còn được lập trình để nhận diện và theo dõi giao thức Modbus SCADA – một giao thức phổ biến trong hệ thống điều khiển công nghiệp (ICS). Việc theo dõi Modbus cho thấy tin tặc quan tâm đến dữ liệu SCADA/ICS trên mạng, có thể nhằm do thám các thiết bị công nghiệp đang vận hành.​
• Mô-đun liên lạc Tor: đây là mô-đun thiết lập kênh liên lạc ẩn danh. Khi cài mô-đun này, Mã độc chính sẽ có khả năng kết nối đến máy chủ C2 thông qua mạng Tor thay vì kết nối trực tiếp. Cụ thể, mô-đun mở một dịch vụ proxy SOCKS5 nội bộ và chuyển hướng mọi lưu lượng C2 qua đó, liên kết tới các địa chỉ .onion (Tor hidden service) của kẻ tấn công. Kết quả là rất khó lần ra nguồn gốc máy chủ điều khiển, đồng thời việc giám sát mạng bình thường khó có thể thấy được traffic C2 (do đã được ẩn trong luồng Tor được mã hóa).​

Ngoài hai mô-đun trên, giới nghiên cứu tin rằng còn nhiều mô-đun Pha 3 khác chưa được khám phá vào thời điểm tháng 5/2018. Thực tế, các báo cáo cập nhật sau đó đã tiết lộ một loạt mô-đun bổ sung, cho thấy VPNFilter là một nền tảng linh hoạt sẵn sàng cho nhiều mục đích tấn công khác nhau. Ví dụ: mô-đun “ssler” được Cisco công bố đầu tháng 6/2018 có khả năng chặn tất cả lưu lượng web qua cổng 80 và can thiệp vào nội dung để thực hiện tấn công Man-in-the-Middle. Nó thậm chí có thể tự động hạ cấp kết nối HTTPS xuống HTTP nhằm giải mã dữ liệu người dùng và chèn mã độc vào luồng dữ liệu. Với ssler, kẻ tấn công có thể đọc trộm và chỉnh sửa bất kỳ thông tin nào người dùng truyền qua router (ví dụ: thay đổi nội dung trang web, đánh cắp thông tin đăng nhập ngân hàng như Cisco cảnh báo). Một mô-đun khác là “dstr”, viết tắt của destroy, cung cấp một lệnh tự hủy cho Mã độc chính nếu biến thể Mã độc chính đó chưa có sẵn lệnh này. Khi được kích hoạt, dstr sẽ xóa mọi dấu vết của VPNFilter trên thiết bị rồi thực thi lệnh phá hủy thiết bị tương tự như chức năng kill đã nêu. Nói cách khác, dstr giúp malware vừa che giấu sự hiện diện (xóa log, file) vừa phá hủy thiết bị để ngăn điều tra.

Chưa dừng lại ở đó, vào tháng 9/2018, người ta tiếp tục phát hiện thêm 7 mô-đun Pha 3 mới với các chức năng đa dạng, ví dụ:​

• “htpx” – tương tự ssler, nó chuyển hướng và kiểm tra mọi lưu lượng HTTP qua router, đặc biệt nhằm phát hiện các tệp thực thi Windows truyền qua để có thể chèn mã độc vào (trojan hóa) trước khi tệp đến máy tính nạn nhân.​
• “ndbr” – mô-đun cung cấp một công cụ SSH đa chức năng, có thể được dùng như cửa hậu hoặc thực thi lệnh từ xa qua SSH.​
• “nm” – viết tắt của network mapper, có chức năng quét và lập bản đồ mạng nội bộ phía sau router. Module này cho phép kẻ tấn công khảo sát toàn bộ các thiết bị trong LAN, từ đó lên kế hoạch xâm nhập sâu hơn vào hệ thống (đặc biệt nguy hiểm nếu đó là mạng ICS).​
• “netfilter” – mô-đun tạo bộ lọc gói, có thể thực hiện từ chối dịch vụ (DoS) có chọn lọc trên thiết bị, ví dụ chặn truy cập đến một số ứng dụng mã hóa cụ thể.​
• “portforwarding” – thiết lập chuyển tiếp cổng từ thiết bị nhiễm ra hạ tầng của hacker, giúp mở các kết nối vào mạng nội bộ bị tấn công từ bên ngoài.​
• “socks5proxy” – mở một máy chủ proxy SOCKS5 trên router bị nhiễm, tạo đường hầm cho phép kẻ tấn công truy cập ẩn danh vào mạng nội bộ.​
• “tcpvpn” – thiết lập một kết nối VPN kiểu reverse TCP từ router bị nhiễm ra ngoài, qua đó kẻ tấn công có thể truy cập trực tiếp mạng nội bộ phía sau thiết bị như thể đang ở trong mạng đó.​

Sự xuất hiện của các mô-đun này cho thấy VPNFilter thực sự là một bộ công cụ linh hoạt và cực kỳ nguy hiểm. Tùy theo mục tiêu, kẻ tấn công có thể tải các mô-đun phù hợp để do thám thông tin, đánh cắp dữ liệu, tấn công man-in-the-middle, mở đường xâm nhập hệ thống nội bộ, hoặc phá hoại hạ tầng. Tính mô-đun cũng giúp malware dễ dàng cập nhật chức năng mới mà không cần thay đổi toàn bộ mã, gây khó khăn hơn cho việc phòng thủ.​

Thiết bị và nền tảng bị ảnh hưởng​

VPNFilter nhắm vào các thiết bị mạng phổ thông vốn ít được bảo mật nghiêm ngặt. Danh sách nạn nhân xác định bao gồm các router băng thông rộng (cấp doanh nghiệp nhỏ và gia đình) của rất nhiều hãng sản xuất khác nhau, cũng như thiết bị lưu trữ NAS. Theo tổng hợp từ Cisco và Symantec, các thương hiệu thiết bị bị ảnh hưởng gồm: Asus, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, Ubiquiti, Upvel, ZTE, cùng các thiết bị QNAP NAS chạy hệ điều hành QTS. Điều này phản ánh phạm vi tấn công rất rộng, không phụ thuộc vào một nhà sản xuất cụ thể nào. Dưới đây là một số ví dụ về mẫu thiết bị dễ bị tổn thương đã được liệt kê:​

• Linksys: các model router phổ biến như E1200, E2500, WRVS4400N,...​
• MikroTik: các thiết bị Cloud Core Router chạy RouterOS (phiên bản 1016, 1036, 1072) nằm trong danh sách bị nhiễm. (MikroTik là hãng router hay dùng trong mạng doanh nghiệp nhỏ và cả một số hệ thống công nghiệp vì tính năng định tuyến mạnh mẽ với chi phí thấp).​
• NETGEAR: nhiều model như DGN2200, R6400, R7000, R8000, WNR1000, WNR2000... nằm trong diện bị tấn công.​
• TP-Link: ví dụ model R600VPN (router VPN cho doanh nghiệp nhỏ) nằm trong danh sách ảnh hưởng.​
• QNAP NAS: các thiết bị lưu trữ như QNAP TS-251, TS-439 Pro và nhiều model NAS khác chạy firmware QTS cũng bị cài malware.VPNFilter).​

Tuy nhiên, danh sách thiết bị bị ảnh hưởng đã mở rộng sau đó. Ngày 6/6/2018, Cisco công bố thêm rằng VPNFilter có thể tấn công nhiều dòng router khác từ các hãng ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTE, cũng như một số model mới của Linksys, MikroTik, Netgear, TP-Link (mở rộng so với ban đầu). Họ ước tính có thêm khoảng 200.000 thiết bị rủi ro, nâng tổng số thiết bị tiềm ẩn nguy cơ lên tới 700.000 trên toàn thế giới.

Những thiết bị bị nhắm tới đa phần đều chạy hệ điều hành nhúng dựa trên Linux và thường không có cơ chế bảo mật mạnh tích hợp. Chúng nằm ở vị trí biên mạng (perimeter) nhưng lại ít được quản trị cập nhật thường xuyên, không có chương trình anti-virus, và không có hệ thống xâm nhập (IPS) bảo vệ. Nhiều thiết bị còn dùng mật khẩu mặc định hoặc firmware đã cũ với các lỗ hổng đã công bố, khiến việc xâm nhập tương đối dễ dàng cho kẻ tấn công. Chính sự chủ quan trong bảo mật thiết bị mạng gia đình/doanh nghiệp nhỏ đã góp phần để VPNFilter lặng lẽ phát tán từ 2016 mà không bị phát hiện sớm.

Mặc dù các thiết bị bị nhiễm chủ yếu là router và NAS dân dụng, nhưng tác động của VPNFilter không chỉ giới hạn ở mạng gia đình. Nhiều mạng doanh nghiệp nhỏ, cơ quan cũng sử dụng các loại router SOHO này. Đặc biệt, trong bối cảnh OT/ICS, không ít hệ thống SCADA từ xa hoặc mạng điều khiển phân tán (ví dụ trạm biến áp, cơ sở hạ tầng nhỏ) cũng dùng các router công nghiệp đơn giản (có tính năng tương tự SOHO router) để kết nối về trung tâm. Do đó, VPNFilter có thể len lỏi vào các mạng công nghiệp thông qua những thiết bị “yếu thế” này, tạo bàn đạp cho cuộc tấn công nhằm vào hệ thống OT.​

Tác động đến hệ thống OT/ICS​

Mặc dù VPNFilter chủ yếu lây nhiễm các thiết bị mạng (router, NAS) chứ không trực tiếp tấn công PLC hay thiết bị điều khiển công nghiệp, nhưng hệ thống OT/ICS có thể chịu ảnh hưởng nghiêm trọng nếu hạ tầng mạng hỗ trợ bị xâm nhập bởi VPNFilter. Những khả năng của malware này cho thấy mối đe dọa đặc thù đối với môi trường công nghiệp:​

• Do thám và thu thập dữ liệu ICS: VPNFilter có sẵn chức năng chụp và phân tích lưu lượng Modbus SCADA đi qua thiết bị mạng bị nhiễm. Điều này đồng nghĩa với việc nếu một router tại cơ sở công nghiệp bị nhiễm, kẻ tấn công có thể theo dõi toàn bộ dữ liệu điều khiển giữa hệ thống SCADA và các PLC/RTU. Họ có thể phát hiện thiết bị SCADA nào đang hoạt động, đọc được các lệnh điều khiển và giá trị cảm biến trong quá trình, từ đó thu thập thông tin tình báo về quy trình vận hành của nhà máy. Chẳng hạn, qua việc chặn bắt gói tin giao thức Modbus, tin tặc có thể biết nhà máy X đang có bao nhiêu PLC, địa chỉ IP/mã thiết bị của chúng, loại quá trình gì được điều khiển, v.v.. Những thông tin này vô cùng hữu ích để chúng lên kế hoạch tấn công OT chuyên sâu hơn (ví dụ thiết kế malware nhắm vào PLC cụ thể, như cách nhóm BlackEnergy từng làm).​
• Xác định và phân loại thiết bị SCADA: Kaspersky cho biết VPNFilter có thể được dùng để “phát hiện thiết bị SCADA” trên mạng. Thực tế, việc giám sát lưu lượng ICS cho phép suy ra sự hiện diện của hệ thống điều khiển công nghiệp. Với tính năng network mapping (nm) ở Pha 3, malware còn có thể quét mạng LAN công nghiệp để tìm các thành phần khác (máy chủ OPC, HMI, camera IP, v.v.). Như vậy, một khi router biên của mạng ICS bị chiếm, kẻ tấn công sẽ có bức tranh rõ ràng về mạng OT bên dưới, từ đó dễ dàng lựa chọn mục tiêu trọng yếu để khai thác hoặc phá hoại.​
• Gián đoạn vận hành mạng công nghiệp: Tác động nguy hiểm nhất của VPNFilter đối với OT là khả năng làm gián đoạn hoàn toàn thông tin liên lạc công nghiệp. Nếu kẻ tấn công sử dụng tính năng tự hủy hàng loạt của VPNFilter, họ có thể vô hiệu hóa hàng trăm ngàn thiết bị mạng cùng lúc. Trong bối cảnh ICS, chỉ cần một vài router/thiết bị mạng quan trọng bị "nốc ao", toàn bộ kênh liên lạc giữa phòng điều khiển và hiện trường có thể bị cắt đứt. Ví dụ, hệ SCADA có thể mất kết nối tới RTU/PLC tại hiện trường, trung tâm điều hành mất khả năng giám sát và điều khiển quá trình. Điều này có thể gây hậu quả nghiêm trọng về an toàn và sản xuất, đặc biệt nếu không có cơ chế dự phòng kịp thời. Thử hình dung một trạm điện hoặc nhà máy mà router truyền thông SCADA bị tắt hoàn toàn: các tín hiệu SCADA không đến được, vận hành viên mất hiển thị thông số quá trình, các hệ thống điều khiển tự động có thể chuyển sang trạng thái an toàn hoặc ngừng hoạt động. Trong trường hợp xấu, hậu quả vật lý có thể xảy ra (quá nhiệt, quá áp, v.v. nếu hệ thống không được kiểm soát). VPNFilter với tính năng phá hủy thiết bị theo kịch bản định sẵn hoặc theo lệnh rõ ràng có khả năng trở thành vũ khí tấn công phá hoại hạ tầng OT diện rộng nếu được sử dụng đồng bộ.​
• Tấn công Man-in-the-Middle vào dữ liệu ICS: Một khía cạnh tinh vi khác, VPNFilter có khả năng can thiệp và sửa đổi nội dung gói tin qua lại trên router (nhờ module như ssler hoặc netfilter). Mặc dù các báo cáo tập trung vào việc malware chèn mã độc vào lưu lượng web và đánh cắp thông tin ngân hàng, về mặt kỹ thuật, cùng một khả năng đó có thể áp dụng lên lưu lượng ICS nếu giao thức không được mã hóa. Ví dụ, Modbus TCP truyền thông điệp điều khiển dạng plaintext; một malware tầm cỡ VPNFilter có thể giả mạo hoặc thay đổi giá trị trong gói Modbus khi đi qua router nhiễm. Kẻ tấn công có thể gửi lệnh giả mạo đến PLC (trong khi trình điều khiển hợp pháp không hay biết), hoặc thay đổi dữ liệu cảm biến trong chiều ngược lại (khiến hệ thống SCADA hiển thị thông số sai lệch). Mặc dù chưa có bằng chứng cụ thể VPNFilter đã làm điều này, tiềm năng kỹ thuật để MITM giao tiếp ICS là hiện hữu. Đây là mối nguy lớn: tin tặc có thể ẩn các hoạt động phá hoại (bằng cách giả mạo dữ liệu an toàn, trong khi thực tế quá trình đã bị tác động) hoặc gây hậu quả sai lệch (bằng cách gửi lệnh không do trung tâm điều khiển phát ra). Các chuyên gia cảnh báo rằng VPNFilter giúp kẻ tấn công “kiểm soát và điều khiển mọi thứ nhận vào cũng như gửi ra từ thiết bị nhiễm” – điều này trong bối cảnh ICS đồng nghĩa với khả năng toàn quyền thao túng thông tin của một hệ thống điều khiển.​
• Mất mát thông tin nhạy cảm và an ninh vật lý: Thông qua việc đọc trộm lưu lượng, VPNFilter có thể đánh cắp nhiều loại dữ liệu trong môi trường OT. Không chỉ là thông tin đăng nhập VPN/SCADA, nó có thể thu thập các bản vẽ, báo cáo, dữ liệu sản xuất nếu chúng được truyền qua mạng bị kiểm soát. Thông tin này có thể được sử dụng để do thám công nghiệp hoặc làm lợi thế trong các cuộc tấn công sau này (biết được quy trình vận hành chi tiết, các điểm yếu về an toàn,...). Ngoài ra, nếu tin tặc có được quyền truy cập sâu (nhờ VPNFilter mở backdoor), họ có thể thay đổi cấu hình của thiết bị mạng ICS (ví dụ thay đổi routing, NAT) gây rối loạn giao thông mạng nội bộ hoặc tạo lỗ hổng cho mã độc khác xâm nhập vào PLC, HMI.​

Tóm lại, VPNFilter là mối đe dọa đáng kể đối với hệ thống OT/ICS, dù gián tiếp. Bằng việc chiếm quyền các thiết bị mạng “bình thường”, chiến dịch này mở ra cánh cửa cho tin tặc xâm nhập sâu vào mạng công nghiệp, theo dõi bí mật quá trình vận hành, và sẵn sàng phá hủy hoặc làm gián đoạn hoạt động công nghiệp khi cần. Vụ việc VPNFilter cũng gióng lên hồi chuông cảnh báo rằng an ninh mạng công nghiệp phải bao gồm cả các thiết bị hạ tầng mạng như router, switch, chứ không chỉ tập trung vào PLC hay HMI. Một điểm yếu ở tầng mạng cũng có thể dẫn đến toàn bộ hệ thống ICS bị nguy hiểm.​

Lỗ hổng bảo mật bị VPNFilter khai thác​

VPNFilter không phải là một cuộc tấn công zero-day (không sử dụng lỗ hổng chưa biết) mà trái lại, nó lợi dụng những điểm yếu bảo mật cơ bản trên thiết bị. Theo Cisco và Symantec, hầu hết các thiết bị bị nhiễm đều có lỗ hổng công khai hoặc dùng thông tin đăng nhập mặc định, đặc biệt là những thiết bị chạy firmware cũ. Điều này cho thấy kẻ tấn công không cần tìm kiếm lỗi mới mà tận dụng “cửa mở sẵn” do quản trị viên không vá lỗi kịp thời hoặc cấu hình bảo mật kém.

Một số lỗ hổng và sai sót điển hình bị VPNFilter khai thác có thể kể đến:​

• Mật khẩu mặc định yếu: Nhiều router SOHO đi kèm tài khoản quản trị mặc định (vd: admin/admin). Nếu người dùng không đổi mật khẩu, kẻ tấn công có thể đăng nhập từ xa vào trang quản trị web của router hoặc qua dịch vụ Telnet/SSH với mật khẩu mặc định và cài đặt malware dễ dàng. Thật vậy, một khuyến cáo của FBI sau sự cố VPNFilter là yêu cầu người dùng thay đổi mật khẩu mặc định trên router để ngăn chặn malware đăng nhập trái phép. Đây là sai lầm bảo mật căn bản mà chiến dịch này đã triệt để lợi dụng trên quy mô lớn.​
• Firmware lỗi thời chưa vá: Nhiều thiết bị trong danh sách bị tấn công có các lỗ hổng đã biết từ các năm trước đó (từ 2016 trở về trước). Ví dụ, hãng MikroTik xác nhận các router của họ bị nhiễm VPNFilter có khả năng đã bị tấn công qua một lỗ hổng trong RouterOS – lỗ hổng này đã được vá từ tháng 3/2017, nhưng những thiết bị không cập nhật vẫn dính mã độc. Điều này nhấn mạnh tầm quan trọng của việc cập nhật phần mềm kịp thời: nếu tất cả người dùng MikroTik vá lỗi 2017, malware đã mất đi một con đường lây lan lớn. Tương tự, các model Linksys, Netgear có thể cũng tồn tại các lỗ hổng đã công bố (như lỗi thực thi lệnh từ xa trong firmware cũ) mà nhiều người dùng chưa cập nhật bản vá, giúp tin tặc quét tìm và khai thác hàng loạt.​
• Dịch vụ quản trị tiếp xúc internet: Một số router cho phép quản trị từ xa (Remote Management) qua Internet thông qua HTTP, Telnet, SSH hoặc cổng dịch vụ riêng. Nếu các dịch vụ này bật trên WAN và không giới hạn IP truy cập, kẻ xấu có thể kết nối trực tiếp đến router từ Internet. Trong trường hợp đó, chỉ cần router có lỗ hổng (ví dụ một lỗi tràn bộ đệm trên dịch vụ web admin) hoặc mật khẩu yếu, VPNFilter có thể xâm nhập. Hãng Netgear sau vụ việc đã khuyến cáo người dùng hãy tắt chức năng Remote Management trên router của họ (mặc định vốn tắt) hoặc nếu cần bật thì phải dùng mật khẩu mạnh và giới hạn IP truy cập. Việc để hở cổng quản trị như Telnet/HTTP ra Internet được xem là một sai lầm nghiêm trọng mà malware đã tận dụng.​
• Cấu hình không an toàn khác: Ngoài ra, có thể có những sai sót cấu hình khác bị lợi dụng, như dịch vụ UPnP mở cổng tự động, dịch vụ SMB cũ trên NAS không được vá, hoặc các backdoor mặc định của nhà sản xuất. Dù không có chi tiết cụ thể cho từng trường hợp, nhưng với kiến thức sâu về thiết bị (như việc malware có bảng tên tiến trình riêng cho từng dòng thiết bị), rõ ràng nhóm vận hành VPNFilter hiểu rõ những điểm yếu chung của thiết bị IoT và đã dùng kịch bản tấn công tự động để chiếm quyền các thiết bị có bảo mật kém.​

Tổng hợp lại, VPNFilter khai thác những lỗ hổng “kinh điển” trong an ninh thiết bị mạng: thiết bị không được cập nhật bản vá, mật khẩu mặc định hoặc yếu, dịch vụ thừa và cổng mở không cần thiết. Chiến dịch này nhấn mạnh rằng an ninh của hạ tầng mạng phụ thuộc rất lớn vào việc quản trị viên áp dụng các biện pháp bảo mật cơ bản. Không có bằng chứng cho thấy VPNFilter dùng lỗ hổng chưa biết (zero-day) – mục tiêu của nó chính là “khoảng trống” do người phòng thủ để lại.​

Biện pháp phòng ngừa và ứng phó sự cố​

Sự bùng phát của VPNFilter là lời nhắc nhở về việc cần củng cố bảo mật cho các thiết bị mạng cơ bản. Dưới đây là các biện pháp quan trọng để phòng ngừa mã độc tương tự và ứng phó nếu nghi ngờ nhiễm VPNFilter:​

• Cập nhật firmware thường xuyên: Đảm bảo router, NAS và thiết bị mạng của bạn luôn chạy phiên bản phần mềm mới nhất. Các bản firmware mới thường vá các lỗ hổng bảo mật đã biết. Ví dụ, MikroTik cho biết việc nâng cấp RouterOS lên bản vá tháng 3/2017 sẽ tự động xóa VPNFilter và sửa lỗi bảo mật mà malware đã khai thác. Do đó, lên lịch kiểm tra cập nhật định kỳ cho thiết bị mạng và áp dụng bản vá ngay khi có thể là tuyến phòng thủ đầu tiên.​
• Đổi mật khẩu mặc định, dùng mật khẩu mạnh: Ngay sau khi triển khai thiết bị mạng mới, hãy thay đổi thông tin đăng nhập mặc định. Sử dụng mật khẩu mạnh (độ dài và phức tạp cao, không trùng lặp giữa các thiết bị/dịch vụ). VPNFilter lan rộng được phần nhiều do người dùng để nguyên mật khẩu mặc định hoặc dùng mật khẩu yếu, tạo điều kiện cho tin tặc truy cập quản trị dễ dàng. Ngoài ra, nên đổi luôn tên người dùng admin nếu thiết bị cho phép, để kẻ tấn công không đoán biết được.​
• Tắt truy cập quản trị từ xa (hoặc giới hạn chặt chẽ): Đối với router/firewall, vô hiệu hóa chức năng quản trị qua giao diện WAN nếu không thực sự cần. Phần lớn người dùng gia đình không cần quản lý router từ ngoài Internet, nên việc tắt Remote Management (HTTP, telnet, SSH trên WAN) sẽ giảm nguy cơ đáng kể. Nếu doanh nghiệp cần quản trị thiết bị từ xa, hãy giới hạn IP nguồn (chỉ cho phép IP của quản trị viên) hoặc tốt hơn là dùng VPN bảo mật để truy cập nội bộ rồi mới quản trị. Netgear khuyến cáo kiểm tra router bằng cách đăng nhập giao diện web nội bộ (192.168.x.x), vào phần Advanced > Remote Management và đảm bảo ô “Turn Remote Management On” không được chọn. Cách làm tương tự áp dụng cho các hãng khác.​
• Tắt các dịch vụ không cần thiết: Nhiều router/NAS bật sẵn các dịch vụ như UPnP, FTP, Telnet... mà người dùng không sử dụng. Hãy tắt các dịch vụ này nếu không cần, vì chúng có thể chứa lỗ hổng hoặc mở cổng ra ngoài. Đặc biệt trong môi trường ICS, chỉ nên mở những dịch vụ/tổng đài thật sự cần cho vận hành, còn lại nên đóng hoặc lọc qua firewall. Giảm bớt “bề mặt tấn công” sẽ làm thu hẹp cửa vào cho malware như VPNFilter.​
• Giám sát lưu lượng mạng và phát hiện sớm: Triển khai các hệ thống IDS/IPS hoặc giám sát an ninh mạng để theo dõi lưu lượng bất thường. VPNFilter có một số dấu hiệu nhận biết (IOC) mà quản trị có thể giám sát, chẳng hạn: thiết bị tự nhiên kết nối tới các dịch vụ lạ như Photobucket, hoặc tên miền độc hại (đây là domain C2 của malware). Nếu phát hiện router trong mạng có truy vấn DNS hoặc kết nối HTTP(S) đến những địa chỉ này, cần kiểm tra ngay. Ngoài ra, lưu lượng Tor từ một router cũng là điều bất thường (vì router thường không dùng Tor), nên có thể cấu hình IDS cảnh báo nếu thấy thiết bị mạng kết nối đến node Tor. CISA khuyến cáo kiểm tra trên thiết bị xem có tiến trình lạ tên “vpnfilter” chạy hay file đáng ngờ nào tồn tại không. Tuy việc này đòi hỏi quyền truy cập sâu vào thiết bị, nhưng ở mức mạng, các quản trị viên có thể so sánh cấu hình/firmware của router với bản gốc từ hãng để phát hiện file thêm vào. Việc giám sát chặt chẽ logs của thiết bị (nhật ký hệ thống, nhật ký kết nối) cũng có thể giúp phát hiện các hoạt động lạ do malware tiến hành.​
• Xử lý sự cố (Incident Response): Nếu nghi ngờ thiết bị đã nhiễm VPNFilter, cần hành động nhanh để hạn chế thiệt hại. Bước đầu tiên, FBI khuyến cáo khởi động lại thiết bị (power cycle) ngay. Việc reboot sẽ tạm thời loại bỏ Mã độc chính và mã độc ở Pha 3 khỏi RAM (vì chúng không có tính bền bỉ), nhờ đó ngắt ngay hoạt động gián điệp/phá hoại của malware trong ngắn hạn. Tuy nhiên, Pha 1 vẫn tồn tại sau reboot, nên sau khi khởi động lại, thiết bị vẫn có nguy cơ bị tái nhiễm nếu Pha 1 kịp tải lại Mã độc chính. Vì thế, ngay khi reboot xong, cần tiến hành reset thiết bị về mặc định (factory reset). Factory reset sẽ xóa sạch cấu hình và các phần mềm cài thêm, bao gồm Pha 1 của VPNFilter. Lưu ý khi reset cần có hướng dẫn của nhà sản xuất để đảm bảo xóa triệt để (một số router có cả phân vùng firmware backup). Sau khi reset, cập nhật firmware lên phiên bản mới nhất (để vá lỗ hổng) và đổi mật khẩu quản trị trước khi cấu hình lại. Chỉ nên phục hồi cấu hình từ backup nếu chắc chắn backup không bị nhiễm – tốt nhất là cấu hình lại bằng tay để tránh đưa malware quay lại từ bản lưu cấu hình cũ.​
• Cô lập thiết bị nhiễm trong mạng ICS: Đối với môi trường OT, nếu phát hiện router/gateway nghi nhiễm mã độc, cần cô lập ngay thiết bị đó khỏi mạng điều khiển (ngắt kết nối mạng của router hoặc thay thế bằng thiết bị dự phòng, nếu có). Điều này nhằm ngăn chặn malware tiếp tục do thám hoặc gây hại cho các thành phần ICS khác. Sau khi cách ly, tiến hành các bước xử lý như trên (reboot, reset, vá lỗi). Đồng thời, kiểm tra hệ thống ICS xem có dấu hiệu nào của sự xâm nhập sâu hơn không (ví dụ log HMI có lệnh lạ, PLC có cấu hình bị thay đổi bất thường). Nếu có, phải mở rộng phạm vi điều tra vì rất có thể kẻ tấn công đã đi xa hơn router.​
• Các biện pháp bổ sung:
  • Phân đoạn mạng (network segmentation): Trong thiết kế hệ thống OT, nên đảm bảo mạng công nghiệp được phân vùng rõ ràng với mạng văn phòng và internet, qua các thiết bị firewall/DMZ. Các router truy cập internet không nên đồng thời là thiết bị nối trực tiếp vào mạng điều khiển nếu không cần thiết. Sử dụng các cổng firewall công nghiệp hoặc VPN bảo mật cho kết nối từ xa vào ICS thay vì dựa vào router thường. Điều này giảm nguy cơ malware từ ngoài internet lọt vào mạng ICS.​
  • Sao lưu cấu hình và firmware thiết bị: Thường xuyên backup cấu hình các router, switch quan trọng và lưu trữ firmware sạch. Trong tình huống bị tấn công diện rộng (ví dụ malware brick thiết bị), có sẵn backup sẽ giúp khôi phục hệ thống nhanh chóng.​
  • Giáo dục nhận thức: Đào tạo đội ngũ kỹ thuật về các dấu hiệu của tấn công IoT/ICS và cách xử lý. VPNFilter là ví dụ điển hình cho thấy nguy cơ từ việc lơ là thiết bị mạng nhỏ. Nhân viên IT/OT cần hiểu tầm quan trọng của việc quản lý các thiết bị này (đổi mật khẩu, vá lỗi, tắt dịch vụ không dùng).​

Chiến dịch VPNFilter cho thấy sự nguy hiểm của mã độc IoT có chủ đích cao, đồng thời cũng chứng minh hiệu quả của các biện pháp cơ bản nếu được thực hiện nghiêm túc. Việc cập nhật firmware, bảo mật cấu hình và giám sát chủ động có thể đã ngăn chặn hoặc giảm thiểu rất nhiều ảnh hưởng của VPNFilter. Bài học kinh nghiệm từ sự cố này là an ninh mạng phải bao quát cả những thiết bị “thầm lặng” như router, switch, và trong môi trường ICS, một lỗ hổng IT có thể trở thành sự cố OT nếu không được quản trị phù hợp.

Tài liệu tham khảo:
Cisco Talos (2018),
Symantec Security Response (2018),
Kaspersky ICS-CERT (2018),
CISA/FBI Alert (2018) về malware VPNFilter
​